Lessen uit het inspectierapport cybersecurity in vitale sectoren
Toezichthouders en rijksinspectiediensten brengen ieder jaar een gezamenlijk inspectierapport uit over cybersecurity in de vitale sectoren. Dit artikel geeft een samenvatting van het meest recente rapport. De toezichthouders hebben in 2023 gelet op de relatie tussen risicomanagement voor informatiebeveiliging en Enterprise Risk Management. Verder kondigen ze aan dat ze in 2024 asset management als speerpunt bij inspecties gaan toevoegen.
In juni 2024 hebben de samenwerkende toezichthouders en rijksinspectiediensten [1] hun jaarlijkse rapport gepubliceerd over de staat van de cybersecurity van de vitale processen en aanbieders. Het gaat hierbij om organisaties die vallen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Onderwijs en onderzoek vallen momenteel niet onder de Wbni en de toezichthouders voeren in dat kader ook geen inspecties uit bij leden van SURF. Echter, dit zou kunnen veranderen indien instellingen daartoe worden aangewezen door het ministerie OCW. Voor enkele van de leden van SURF (UMC’s en zbo’s) wordt de nieuwe Cyberbeveiligingswet (op basis van de NIS 2-richtlijn) wel van toepassing. Daarom is het interessant om op de hoogte te zijn waar de toezichthouders op letten bij hun inspecties, zodat we daarop kunnen anticiperen en kennis kunnen delen over relevante thema’s.
Speerpunten van toezichthouders
Net als in de twee voorgaande jaren werkten de toezichthouders met het gezamenlijke meerjarige thema risicomanagement.
Vorig jaar ging het inspectiebeeld specifiek over risicomanagement bij leveranciers. Het huidige inspectiebeeld kijkt naar risicomanagement in brede zin, ofwel Enterprise Risk Management (ERM). De toezichthouders hebben vooral aandacht besteed aan:
Certificeringen
Organisaties hebben steeds meer aandacht hebben voor certificering van het information security management system (ISMS). Dit is in lijn met het belang van het onafhankelijk laten beoordelen van risicomanagementprocessen. Het gaat hierbij meestal om de ISO 27001-certificering. Voor zorgorganisaties, zoals ziekenhuizen, betreft het de NEN 7510.
Risicomanagement als onderdeel van goed bestuur
De focus in dit inspectiebeeld ligt op de beheersing van cybersecurityrisico’s door het bestuur van organisaties. Uitgangspunt hierbij is dat de specifieke cybersecurityrisico’s uit het ISMS gekoppeld zijn aan de risico’s uit het ERM-systeem. De toezichthouders zien ruimte voor verbetering op het gebied van risicomanagement op bestuursniveau.
De belangrijkste verbeterpunten zijn:
- Vanuit een risico-oogpunt actuele ontwikkelingen volgen, zoals AI en quantumcomputers.
- De aansluiting tussen het ERM-systeem en het ISMS waarborgen.
- De effectiviteit van het ERM-systeem en de ISMS onafhankelijk laten beoordelen.
Interessant is dat de toezichthouders constateren dat de meeste organisaties het three lines model hanteren voor de governance van cybersecurity. Ook binnen onze sector wordt dit model het meest gebruikt.
Lerend vermogen van organisaties
De toezichthouders vinden het ontwikkelen van empowerment en het bevorderen van het lerend vermogen van de vitale aanbieders belangrijk.
Geen incidenten gemeld
Voor organisaties die onder de Wbni vallen zijn er verschillende wettelijke meldplichten voor informatiebeveiligingsincidenten. Onder de Wbni zijn vitale aanbieders verplicht om alle informatiebeveiligingsincidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening onmiddellijk te melden bij het Nationaal Cyber Security Centrum (NCSC). Bij overschrijding van een drempelwaarde moet er ook melding worden gemaakt bij de betreffende toezichthouder. In 2023 zijn, net als in 2022, geen incidenten aan de toezichthouders gemeld waarbij de drempelwaarde werd overschreden.
Bestuurders verantwoordelijk
De toezichthouders roepen in hun rapport bestuurders op om verantwoordelijkheid te nemen als het gaat om cybersecurity. Dit is niet alleen iets van de chief information security officer (CISO) en betrokken ICT-medewerkers. Netwerk- en informatiesystemen zijn zo belangrijk voor de continuïteit van de bedrijfsvoering dat dit de hoogste prioriteit verdient.
Toezicht: risicomanagement en asset management
Risicomanagement blijft ook in de toekomst een speerpunt. Het vormt de basis voor het opzetten en onderhouden van het geheel aan maatregelen dat een organisatie moet nemen. Met de steeds verdergaande digitale transformatie en het continu veranderende dreigingslandschap wijzigen ook de risico’s continu. Dit vraagt om een structureel ingericht proces.
De toezichthouders hebben daarnaast afspraken gemaakt over hoe ze invulling gaan geven aan het nieuwe thema assetmanagement in hun inspectieplanning voor 2024. Zicht op de risico’s en de effectiviteit van maatregelen begint voor een organisatie namelijk met een goed overzicht van en inzicht in assets. De assets betreffen met name de ingezette IT- en OT-middelen en omvatten zowel de software als hardware die een organisatie inzet ten behoeve van vitale processen.
Risiciomanagement en assetmanagement in onze sector
We weten momenteel nog niet of er meer leden van SURF gaan vallen onder de Cyberbeveiligingswet en daarmee ook te maken gaan krijgen met toezichthouders. Maar als je zelf gemotiveerd bent om deze thema’s op te pakken, dan hebben we bij het Security Expertise Centrum wat hulpmiddelen voor je:
- Het SURFaudit toetsingskader informatiebeveiliging kent de domeinen risicobeheer en configuratiebeheer. Instellingen streven al naar een volwassenheidsniveau 3 op die domeinen en richten daarvoor processen in.
- De categorie asset management uit SURF security baseline beschrijft ook wat je als organisatie kunt inrichten.
- De koppeling van risicomanagement voor informatiebeveiliging met ERM is nog geen gewoonte bij instellingen voor onderwijs en onderzoek. In het kennisdossier risicomanagement op de wiki Integrale Veiligheid kun je hier meer informatie over vinden.
[1] De samenwerkende toezichthouders op de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn:
Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS);
Autoriteit Persoonsgegevens (AP);
De Nederlandsche Bank (DNB);
Inspectie Gezondheidszorg en Jeugd (IGJ);
Inspectie Justitie en Veiligheid (IJenV);
Inspectie Leefomgeving en Transport (ILT);
Rijksinspectie Digitale Infrastructuur (RDI).